Offcanvas

강은성

강은성의 보안 아키텍트ㅣ랜섬웨어와 랜섬웨어 ‘산업’에 대응하려면

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

랜섬웨어 록빗 콘티 악성코드 지능형 표적 공격 랩서스 비즈니스 연속성 서비스형 랜섬웨어 레빌 클롭 사이버 범죄 강은성 강은성의 보안 아키텍트

2022.07.11

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

2022.07.11

강은성의 보안 아키텍트ㅣ10만 사이버보안 인재 양성? 이젠 ‘질’을 따져야 할 때!

‘10만 양병설’이 처음 나온 건 율곡 이이가 병조판서였던 1583년으로 알려져 있다. ‘설’의 진위부터, 시기, 실현 가능성 등 여러 논란이 있으나 당시 북방 여진족의 움직임이나 약 10년 뒤인 1592년 임진왜란이 터진 상황을 미뤄 짐작해 보면, 국방 책임자였던 이이가 국제 정세를 분석하고 제안했을 법하다. 더욱이 1584년에 이이가 사망했으니, 그의 마지막 유작과 같은 제안으로 안타까운 마음마저 든다.  보안 분야에서 ‘10만 양병’ 주장이 언제 처음 나왔는지는 찾아보다가 1999년 10월 국정감사에서 정호선 의원이 보안 인력 ‘10만 양병설’의 원조 격이 되는 말을 했다는 기사를 발견했다.   “(정호선 의원은) 21세기 사이버 전쟁에 대비하기 위해 ‘신 10만 사이버 양병 정책'을 수립하고, 국무총리 산하에 `사이버 테러 대책위'를 설치할 것 등을 촉구했다.” (“과기정위, 컴퓨터 해킹대책 추궁”, 연합뉴스 1999.10.11.)  개별적인 기사나 주장으로 나왔던 이 주제가 공영방송의 토론 자리로 나온 것은 2008년의 일이다. 교육방송의 프로그램인 ‘미래포험 2050’에서 ‘10만 해커 양병해야 하나’라는 주제로 당시 쟁쟁했던 보안 분야 인사들의 토론을 진행한 것이다. 먼저 ‘10만 (화이트) 해커’와 ‘10만 보안 인력’은 매우 다른 내용임을 짚어야겠다. 보안에서 말하는 ‘해커’는 기본적으로 공격자로서 ‘병사’를 양성하겠다는 ‘10만 양병론’에 닿아있다. 사이버 전쟁이란 표현 역시 사이버 공간을 전쟁터로 인식하고, 거기서 벌어지는 보안 활동을 ‘전투’로 이해한다는 면에서 그리 다르지 않다.  보안 현업에서 ‘화이트 해커’는 주로 모의해킹 분야에서 일한다. 하지만 모의해킹 외에도 보안 정책 및 관리, 보안시스템 운영, 보안사고 대응, 보안솔루션 개발 등 보안의 여러 분야에서 많은 보안 인력이 일한다(강은성, “이제 수비 전문가가 필요하다”, 2017.1.16).    [표 ...

강은성 강은성의 보안 아키텍트 사이버보안 인재 화이트 해커

2022.05.13

‘10만 양병설’이 처음 나온 건 율곡 이이가 병조판서였던 1583년으로 알려져 있다. ‘설’의 진위부터, 시기, 실현 가능성 등 여러 논란이 있으나 당시 북방 여진족의 움직임이나 약 10년 뒤인 1592년 임진왜란이 터진 상황을 미뤄 짐작해 보면, 국방 책임자였던 이이가 국제 정세를 분석하고 제안했을 법하다. 더욱이 1584년에 이이가 사망했으니, 그의 마지막 유작과 같은 제안으로 안타까운 마음마저 든다.  보안 분야에서 ‘10만 양병’ 주장이 언제 처음 나왔는지는 찾아보다가 1999년 10월 국정감사에서 정호선 의원이 보안 인력 ‘10만 양병설’의 원조 격이 되는 말을 했다는 기사를 발견했다.   “(정호선 의원은) 21세기 사이버 전쟁에 대비하기 위해 ‘신 10만 사이버 양병 정책'을 수립하고, 국무총리 산하에 `사이버 테러 대책위'를 설치할 것 등을 촉구했다.” (“과기정위, 컴퓨터 해킹대책 추궁”, 연합뉴스 1999.10.11.)  개별적인 기사나 주장으로 나왔던 이 주제가 공영방송의 토론 자리로 나온 것은 2008년의 일이다. 교육방송의 프로그램인 ‘미래포험 2050’에서 ‘10만 해커 양병해야 하나’라는 주제로 당시 쟁쟁했던 보안 분야 인사들의 토론을 진행한 것이다. 먼저 ‘10만 (화이트) 해커’와 ‘10만 보안 인력’은 매우 다른 내용임을 짚어야겠다. 보안에서 말하는 ‘해커’는 기본적으로 공격자로서 ‘병사’를 양성하겠다는 ‘10만 양병론’에 닿아있다. 사이버 전쟁이란 표현 역시 사이버 공간을 전쟁터로 인식하고, 거기서 벌어지는 보안 활동을 ‘전투’로 이해한다는 면에서 그리 다르지 않다.  보안 현업에서 ‘화이트 해커’는 주로 모의해킹 분야에서 일한다. 하지만 모의해킹 외에도 보안 정책 및 관리, 보안시스템 운영, 보안사고 대응, 보안솔루션 개발 등 보안의 여러 분야에서 많은 보안 인력이 일한다(강은성, “이제 수비 전문가가 필요하다”, 2017.1.16).    [표 ...

2022.05.13

강은성의 보안 아키텍트ㅣ이루다 2.0, 개인정보, 인공지능

2020년 12월 22일 출시됐다가 여러 사회적 문제를 일으키고 2021년 1월 11일, 21일 만에 중단됐던 챗봇 ‘이루다’ 서비스가 지난 3월 17일부터 공식 베타 서비스를 재개했다. 성이 ‘이'씨이고 이름이 ‘‘루다'인 20살 여대생으로 설정됐던 이 챗봇은, 우려됐던 성희롱뿐 아니라 약자-소수자에 대한 혐오·차별로 물의가 빚어지고, 개인정보보호 법규 위반 행위까지 불거지면서 서비스가 중단됐었다(강은성, “이루다, 인공지능, 개인정보”, 2021.2.23). ‘이루다’ 서비스가 중단된 지 세 달가량 뒤인 지난해 4월에 개인정보보호위원회에서는 ‘이루다’의 개인정보보호법 위반 행위에 대해 행정처분을 내렸다. 그중 ‘이루다’ 개발사 스캐터랩이 함께 운영하던 ‘텍스트앳’과 ‘연애의과학’ 서비스에 카카오톡 이용자가 제공한 대화 내용과 관련, 개인정보위가 개인정보보호법을 위반했다고 지목한 주요 내용은 다음과 같다.  (1) ‘연애의과학’과 ‘텍스트앳’에서 개인정보 수집 시 명시적 동의를 받지 않은 행위(제22조(동의를 받는 방법) 제1항 및 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) 제1항 위반)  (2) ‘연애의과학’과 ‘텍스트앳’에서 수집한 목적 외로 ‘이루다’의 학습과 운영에 카톡 대화 문장을 이용한 행위(제18조(개인정보의 목적 외 이용·제공 제한) 제1항 위반) (3) github에 이용자의 카톡 대화 문장(가명정보)을 공유한 행위(제28조의2(가명정보의 처리 등) 제2항 위반) 이루다2.0에서는 그동안 지적됐던 개인정보 문제가 어느 정도 개선된 것으로 보인다. 먼저 개인정보위에서 지적한 개인정보 처리방침이 개선됐다. ‘연애의과학’과 ‘텍스트앳’ 개인정보 처리방침의 ‘개인정보의 수집 및 이용 목적’에 “챗봇 알고리즘 개발을 포함한 언어 기반 인공지능 분야 기술의 연구 개발 등 신규 서비스 개발”이라고 하여 개인정보를 이용할 신규 서비스 개발을 일부 한정하였다. 스캐터랩이 홈페이지에 ‘AI 챗봇 윤리’ 아래에...

강은성 강은성의 보안 아키텍트 이루다2.0 챗봇

2022.04.15

2020년 12월 22일 출시됐다가 여러 사회적 문제를 일으키고 2021년 1월 11일, 21일 만에 중단됐던 챗봇 ‘이루다’ 서비스가 지난 3월 17일부터 공식 베타 서비스를 재개했다. 성이 ‘이'씨이고 이름이 ‘‘루다'인 20살 여대생으로 설정됐던 이 챗봇은, 우려됐던 성희롱뿐 아니라 약자-소수자에 대한 혐오·차별로 물의가 빚어지고, 개인정보보호 법규 위반 행위까지 불거지면서 서비스가 중단됐었다(강은성, “이루다, 인공지능, 개인정보”, 2021.2.23). ‘이루다’ 서비스가 중단된 지 세 달가량 뒤인 지난해 4월에 개인정보보호위원회에서는 ‘이루다’의 개인정보보호법 위반 행위에 대해 행정처분을 내렸다. 그중 ‘이루다’ 개발사 스캐터랩이 함께 운영하던 ‘텍스트앳’과 ‘연애의과학’ 서비스에 카카오톡 이용자가 제공한 대화 내용과 관련, 개인정보위가 개인정보보호법을 위반했다고 지목한 주요 내용은 다음과 같다.  (1) ‘연애의과학’과 ‘텍스트앳’에서 개인정보 수집 시 명시적 동의를 받지 않은 행위(제22조(동의를 받는 방법) 제1항 및 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) 제1항 위반)  (2) ‘연애의과학’과 ‘텍스트앳’에서 수집한 목적 외로 ‘이루다’의 학습과 운영에 카톡 대화 문장을 이용한 행위(제18조(개인정보의 목적 외 이용·제공 제한) 제1항 위반) (3) github에 이용자의 카톡 대화 문장(가명정보)을 공유한 행위(제28조의2(가명정보의 처리 등) 제2항 위반) 이루다2.0에서는 그동안 지적됐던 개인정보 문제가 어느 정도 개선된 것으로 보인다. 먼저 개인정보위에서 지적한 개인정보 처리방침이 개선됐다. ‘연애의과학’과 ‘텍스트앳’ 개인정보 처리방침의 ‘개인정보의 수집 및 이용 목적’에 “챗봇 알고리즘 개발을 포함한 언어 기반 인공지능 분야 기술의 연구 개발 등 신규 서비스 개발”이라고 하여 개인정보를 이용할 신규 서비스 개발을 일부 한정하였다. 스캐터랩이 홈페이지에 ‘AI 챗봇 윤리’ 아래에...

2022.04.15

강은성의 보안 아키텍트ㅣ체크리스트가 보안을 망친다? 형식만 남은 보안 위험 관리

지난 2월 오징어 게임의 주연 이정재, 정호연 배우가 비영어권 드라마 최초로 미국 배우조합(SAG)에서 주는 남녀 주연 배우상을 받은 것이 세계적인 화제다. 15만 명의 미국 배우 중 다수가 한국 드라마의 한국 주연 배우에 투표한 것은 정말 놀라운 일이 아닐 수 없다.  로마가 하루아침에 이뤄지지 않았듯 우리나라 영화와 문화의 세계적 위상 변화 역시 기생충, BTS 등 오랫동안 쌓여온 노력과 성과가 전 세계가 맞이한 코로나19 위기에서 세계적 모범이 된 K-방역, 한국 경제의 탁월한 회복, 세계에 대한 인류애적 지원으로 한국에 대한 글로벌 인식이 근본적으로 바뀌면서 발생하고 있는 것이 아닐까 싶다(강은성,  “코로나19, 국가브랜드, 기업활동”, 2020.4.7).   특히 코로나19 초기에 질병관리본부의 ‘위험 평가'는 인상적이었다. 2020년 2월 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한 주장에 대해 정부에서는 질병관리본부와 감염병 전문가들이 ‘위험 평가'를 하고 있다고 설명하면서 기업의 임직원 등 ‘필수 인력’의 왕래를 허용하면서도 입국장부터 숙소까지 철저한 방역 관리로 초기 코로나19 대응의 세계적인 모범 사례를 만들었다(강은성, “코로나19와 개인정보 위기관리", 2020.3.16). 보안에서는 ‘보안 위험 평가’를 한다. ‘보안 위험 관리'는 보안 위험 식별(자산 식별 → 보안위협 식별 → 보안취약점 식별) → 보안 위험 분석 및 평가 → 보안대책 수립 → 보안대책 이행 관리로 이뤄진다. 보안 위험 평가는 보안 위험 관리의 일부로서 보안 위협에 대응하기 위한 전사 보안정책의 수립, 보안솔루션의 도입과 운영, 보안관제 등 각종 보안대책의 토대가 된다.  정부에서 시행하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이나 국제 표준인 정보보안 경영시스템(ISO27001) 인증 역시 이러한 위험 관리가 중심에 있다. 코로나19 초기에 질병관리본부에...

강은성 강은성의 보안 아키텍트 보안 체크리스트 보안 위험 관리 보안 위험 평가

2022.03.11

지난 2월 오징어 게임의 주연 이정재, 정호연 배우가 비영어권 드라마 최초로 미국 배우조합(SAG)에서 주는 남녀 주연 배우상을 받은 것이 세계적인 화제다. 15만 명의 미국 배우 중 다수가 한국 드라마의 한국 주연 배우에 투표한 것은 정말 놀라운 일이 아닐 수 없다.  로마가 하루아침에 이뤄지지 않았듯 우리나라 영화와 문화의 세계적 위상 변화 역시 기생충, BTS 등 오랫동안 쌓여온 노력과 성과가 전 세계가 맞이한 코로나19 위기에서 세계적 모범이 된 K-방역, 한국 경제의 탁월한 회복, 세계에 대한 인류애적 지원으로 한국에 대한 글로벌 인식이 근본적으로 바뀌면서 발생하고 있는 것이 아닐까 싶다(강은성,  “코로나19, 국가브랜드, 기업활동”, 2020.4.7).   특히 코로나19 초기에 질병관리본부의 ‘위험 평가'는 인상적이었다. 2020년 2월 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한 주장에 대해 정부에서는 질병관리본부와 감염병 전문가들이 ‘위험 평가'를 하고 있다고 설명하면서 기업의 임직원 등 ‘필수 인력’의 왕래를 허용하면서도 입국장부터 숙소까지 철저한 방역 관리로 초기 코로나19 대응의 세계적인 모범 사례를 만들었다(강은성, “코로나19와 개인정보 위기관리", 2020.3.16). 보안에서는 ‘보안 위험 평가’를 한다. ‘보안 위험 관리'는 보안 위험 식별(자산 식별 → 보안위협 식별 → 보안취약점 식별) → 보안 위험 분석 및 평가 → 보안대책 수립 → 보안대책 이행 관리로 이뤄진다. 보안 위험 평가는 보안 위험 관리의 일부로서 보안 위협에 대응하기 위한 전사 보안정책의 수립, 보안솔루션의 도입과 운영, 보안관제 등 각종 보안대책의 토대가 된다.  정부에서 시행하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이나 국제 표준인 정보보안 경영시스템(ISO27001) 인증 역시 이러한 위험 관리가 중심에 있다. 코로나19 초기에 질병관리본부에...

2022.03.11

강은성의 보안 아키텍트ㅣ정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 자격 요건

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

강은성 강은성의 보안 아키텍트 정보보호최고책임자 개인정보보호책임자 CISO CPO 정보통신망법 정보보호 개인정보보호

2022.02.14

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

2022.02.14

신간 | 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

한빛미디어가 기업 각 부서의 관리자와 보안 담당자들이 정보보안 관리와 관련한 실질적인 가이드를 담은 '팀장부터 CEO까지 알아야 할 기업 정보보안 가이드'를 3일 발간했다.  본지 칼럼니스트 강은성 교수가 7년 만에 집필한 이번 도서는, 정보보안 관련 임무와 업무를 기술하는 한편, 기업 보안의 근간인 정보보호 거버넌스를 실제 기업의 관점에서 다룬다. 또 보안 위험 관리, 정보보호 대책의 수립과 이행, 협업관리, 인력관리와 같은 정보보안 업무의 핵심적인 관리 포인트를 안내하고 있다.  도서를 통해 정보보안의 A to Z를 살피게 되면  막연한 정보보안 업무의 실마리가 잡히는 한편, 위험 대응을 위한 모든 절차가 구체화될 것이라고 출판사 측은 설명했다. 기업 내 정보보호 조직 리더나 선임 실무자, CISO, CPO는 물론, 정보보호와 관련 있는 현업 부서의 관리자와 경영진에게 유용할 것으로 기대된다.  한국정보보학회 회장 류재철 충남대학교 컴퓨터융합학교 교수는 "강은성 교수의 오랜 업계 경험과 연구, 10년 가까이 해 온 정보보호책임자 교육의 결정판이다. 정보보호책임자가 알아야 할 기업 정보보안의 모든 것이 담겨 있다고 과언이 아니다"라고 말했다. 총 444쪽 분량에 가격은 2만 5,000원이다. ciokr@idg.co.kr

팀장부터 CEO까지 알아야 할 기업 정보보안 가이드 강은성 한빛미디어

2022.01.03

한빛미디어가 기업 각 부서의 관리자와 보안 담당자들이 정보보안 관리와 관련한 실질적인 가이드를 담은 '팀장부터 CEO까지 알아야 할 기업 정보보안 가이드'를 3일 발간했다.  본지 칼럼니스트 강은성 교수가 7년 만에 집필한 이번 도서는, 정보보안 관련 임무와 업무를 기술하는 한편, 기업 보안의 근간인 정보보호 거버넌스를 실제 기업의 관점에서 다룬다. 또 보안 위험 관리, 정보보호 대책의 수립과 이행, 협업관리, 인력관리와 같은 정보보안 업무의 핵심적인 관리 포인트를 안내하고 있다.  도서를 통해 정보보안의 A to Z를 살피게 되면  막연한 정보보안 업무의 실마리가 잡히는 한편, 위험 대응을 위한 모든 절차가 구체화될 것이라고 출판사 측은 설명했다. 기업 내 정보보호 조직 리더나 선임 실무자, CISO, CPO는 물론, 정보보호와 관련 있는 현업 부서의 관리자와 경영진에게 유용할 것으로 기대된다.  한국정보보학회 회장 류재철 충남대학교 컴퓨터융합학교 교수는 "강은성 교수의 오랜 업계 경험과 연구, 10년 가까이 해 온 정보보호책임자 교육의 결정판이다. 정보보호책임자가 알아야 할 기업 정보보안의 모든 것이 담겨 있다고 과언이 아니다"라고 말했다. 총 444쪽 분량에 가격은 2만 5,000원이다. ciokr@idg.co.kr

2022.01.03

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (2)

지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다. 셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정 개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.   ② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. 개인정보보호법 제65조(고발 및 징계권고) 제2항 개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.   ② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다. 정보통신망법 제69조의2(고발) 제2항 2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다.  비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다. 정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하...

강은성 강은성의 보안 아키텍트 개인정보보호 개인정보보호법 보안 사이버보안 프라이버시

2021.11.11

지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다. 셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정 개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.   ② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. 개인정보보호법 제65조(고발 및 징계권고) 제2항 개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.   ② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다. 정보통신망법 제69조의2(고발) 제2항 2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다.  비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다. 정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하...

2021.11.11

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (1)

2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다.    ‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다.  기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다).  또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다.  작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다.  기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로...

강은성 강은성의 보안 아키텍트 개인정보보호 프라이버시 개인정보보호법

2021.10.25

2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다.    ‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다.  기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다).  또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다.  작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다.  기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로...

2021.10.25

강은성의 보안 아키텍트ㅣ비밀번호를 없애자!

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

강은성 강은성의 보안 아키텍트 보안 비밀번호 암호 안티 바이러스 사용자 인증 생체인증

2021.09.17

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

2021.09.17

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

강은성 강은성의 보안 아키텍트 정보통신망법 CISO 정보보호 보안

2021.07.22

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

2021.07.22

강은성의 보안 아키텍트ㅣ과징금은 개인정보 보호의 만능열쇠인가?

2018년 5월 발효한 유럽연합의 일반 개인정보보호법(GDPR)에서 법령 위반에 따른 과징금 규모가 크다는 것은 세계적으로 잘 알려져 있다. 일례로 2019년 1월 프랑스 개인정보 감독기구 CNIL은 개인정보 유출 사고가 발생하지도 않은 구글에 개인정보 처리방침과 개인정보 수집 동의 등 구글의 개인정보 처리 프로세스의 적법성이 확보되지 않았다는 이유로 GDPR 사상 최대 금액 5천만 유로(한화 약 642억 원)의 과징금을 부과해 전 세계의 관심이 쏠렸다. 국내에서 2017년부터 GDPR에 관심이 많았던 것도 최대 2천만 유로 또는 전 세계 매출액의 4%에 이르는 엄청난 과징금의 영향이 컸던 게 사실이다. 그런데도 개인정보 관련한 세계 최고의 금전적 제재는 유럽연합이 아닌 미국에서 있었다. 2019년 7월 미국 연방거래위원회(FTC)는 2018년 3월에 드러난 ‘페이스북-케임브리지 애널리티카 개인정보 유출 사건’을 비롯해 그전부터 발생한 페이스북의 개인정보 침해 행위에 대한 벌금으로 50억 달러(약 5조 9천억 원)를 부과하기로 페이스북과 합의했다. 하지만 내용을 좀 더 살펴보면 FTC가 페이스북에 금전적 제재만 부과한 것이 아니다.    FTC는 페이스북의 오너이자 CEO인 마크 저커버그가 페이스북에서 개인정보 침해 사건이 계속 발생하는 근본적 원인이라고 보고 저커버그의 통제에서 벗어난 개인정보보호 체계를 구성했다. 즉 CEO에게서 독립한 개인정보보호위원회를 구성하고 이 위원회의 승인을 받은 준법감시인을 선임하도록 했다. CEO와 준법감시인에게는 서로 독립적으로 FTC가 명령한 개인정보보호 프로그램을 준수하고 있다는 점을 분기별로 증빙을 제출하고, 1년에 한 번은 전체적으로 FTC의 명령을 준수하고 있다는 증빙을 제출하는 의무를 부과했다.  개인정보보호 담당 조직의 관점에서 본다면 FTC의 명령을 준수하고 분기별로 그 증빙을 갖추는 일은 쉽지 않지만 오너 CEO가 법령을 위반해 개인정보 이용을 지시하는 것을 차단할 수 있고 ...

강은성 강은성의 보안 아키텍트 보안 유럽연합 개인정보보호 프라이버시 구글 GDPR 페이스북 FTC 개인정보 침해 데이터 마이데이터

2021.06.22

2018년 5월 발효한 유럽연합의 일반 개인정보보호법(GDPR)에서 법령 위반에 따른 과징금 규모가 크다는 것은 세계적으로 잘 알려져 있다. 일례로 2019년 1월 프랑스 개인정보 감독기구 CNIL은 개인정보 유출 사고가 발생하지도 않은 구글에 개인정보 처리방침과 개인정보 수집 동의 등 구글의 개인정보 처리 프로세스의 적법성이 확보되지 않았다는 이유로 GDPR 사상 최대 금액 5천만 유로(한화 약 642억 원)의 과징금을 부과해 전 세계의 관심이 쏠렸다. 국내에서 2017년부터 GDPR에 관심이 많았던 것도 최대 2천만 유로 또는 전 세계 매출액의 4%에 이르는 엄청난 과징금의 영향이 컸던 게 사실이다. 그런데도 개인정보 관련한 세계 최고의 금전적 제재는 유럽연합이 아닌 미국에서 있었다. 2019년 7월 미국 연방거래위원회(FTC)는 2018년 3월에 드러난 ‘페이스북-케임브리지 애널리티카 개인정보 유출 사건’을 비롯해 그전부터 발생한 페이스북의 개인정보 침해 행위에 대한 벌금으로 50억 달러(약 5조 9천억 원)를 부과하기로 페이스북과 합의했다. 하지만 내용을 좀 더 살펴보면 FTC가 페이스북에 금전적 제재만 부과한 것이 아니다.    FTC는 페이스북의 오너이자 CEO인 마크 저커버그가 페이스북에서 개인정보 침해 사건이 계속 발생하는 근본적 원인이라고 보고 저커버그의 통제에서 벗어난 개인정보보호 체계를 구성했다. 즉 CEO에게서 독립한 개인정보보호위원회를 구성하고 이 위원회의 승인을 받은 준법감시인을 선임하도록 했다. CEO와 준법감시인에게는 서로 독립적으로 FTC가 명령한 개인정보보호 프로그램을 준수하고 있다는 점을 분기별로 증빙을 제출하고, 1년에 한 번은 전체적으로 FTC의 명령을 준수하고 있다는 증빙을 제출하는 의무를 부과했다.  개인정보보호 담당 조직의 관점에서 본다면 FTC의 명령을 준수하고 분기별로 그 증빙을 갖추는 일은 쉽지 않지만 오너 CEO가 법령을 위반해 개인정보 이용을 지시하는 것을 차단할 수 있고 ...

2021.06.22

강은성의 보안 아키텍트ㅣ맥(Mac) 안전하게 사용하기

확실히 ‘맥(Mac)’ 사용자가 많이 늘었다. 테헤란로에서는 맥을 정말 많이 봤는데, 학교에 와서도 맥을 종종 보게 된다. 과거에 맥은 디자이너의 전유물이다시피 했지만 이제는 개발자도 많이 사용하고 아예 맥을 기본으로 사용하는 회사도 생겼다.  시장조사기관 스탯카운터(StatCounter)에 따르면 2020년 12월 기준으로 데스크톱 운영체제 중 맥OS가 17.1%를 차지한다. 2014년 8.7%와 비교해 6년 만에 2배 가까이 늘어난 것이다. 사용자가 늘어난 만큼 이를 노린 보안 공격이 늘어나는 것은 낯설지 않은 일이다.    맥은 안전하다는 믿음을 가진 분들이 의외로 많지만 맥용 악성코드는 꾸준히 늘어나는 추세다. 국내 악성코드 수집 사이트 멀웨어스닷컴(malwares.com)에 따르면 2020년 1월부터 10월까지 수집된 맥OS용 악성코드는 약 14만 개로 지난해 같은 기간보다 11.8배 증가했다.  그런데 맥용 악성코드가 가장 많이 발견된 때조차도 윈도우용 악성코드 수의 1/100 이하에 불과하다. 통계 주체에 따라 좀 다르긴 하지만 맥용 악성코드 통계를 두루 살펴보면 애드웨어나 PUP(Potentially Unwanted Program) 종류가 많아서 행위의 악성 수준이 좀 떨어지기도 한다.    맥의 보안 체계를 뚫기 쉽지 않아서 맥에 대한 공격은 사용자가 속아서 스스로 설치하도록 만드는 공격이 많다. 악성코드를 마치 보안 프로그램인 것처럼 보이게 해서 배포하는 방식이 그중 하나다. 아무래도 윈도우보다 맥OS에서 작동하는 소프트웨어가 훨씬 적고 애플 앱스토어라는 한정된 곳에서 제공되다 보니 인터넷 검색이나 토렌트 등을 통해 무료 소프트웨어를 찾는 사용자들도 꽤 있다.    맥용 보안 제품을 사 주지 않는 회사에서 무료 보안 프로그램을 찾는 사용자도 있어서 공격자들이 파고들기 좋다. 애플 사용자들의 애플에 대한 특수한 신뢰를 악용하여 애플 사이트로 위장한 피싱 사이트...

강은성 강은성의 보안 아키텍트 보안 윈도우 악성코드 데스크톱 운영체제 안티바이러스 엔드포인트 보안

2021.04.15

확실히 ‘맥(Mac)’ 사용자가 많이 늘었다. 테헤란로에서는 맥을 정말 많이 봤는데, 학교에 와서도 맥을 종종 보게 된다. 과거에 맥은 디자이너의 전유물이다시피 했지만 이제는 개발자도 많이 사용하고 아예 맥을 기본으로 사용하는 회사도 생겼다.  시장조사기관 스탯카운터(StatCounter)에 따르면 2020년 12월 기준으로 데스크톱 운영체제 중 맥OS가 17.1%를 차지한다. 2014년 8.7%와 비교해 6년 만에 2배 가까이 늘어난 것이다. 사용자가 늘어난 만큼 이를 노린 보안 공격이 늘어나는 것은 낯설지 않은 일이다.    맥은 안전하다는 믿음을 가진 분들이 의외로 많지만 맥용 악성코드는 꾸준히 늘어나는 추세다. 국내 악성코드 수집 사이트 멀웨어스닷컴(malwares.com)에 따르면 2020년 1월부터 10월까지 수집된 맥OS용 악성코드는 약 14만 개로 지난해 같은 기간보다 11.8배 증가했다.  그런데 맥용 악성코드가 가장 많이 발견된 때조차도 윈도우용 악성코드 수의 1/100 이하에 불과하다. 통계 주체에 따라 좀 다르긴 하지만 맥용 악성코드 통계를 두루 살펴보면 애드웨어나 PUP(Potentially Unwanted Program) 종류가 많아서 행위의 악성 수준이 좀 떨어지기도 한다.    맥의 보안 체계를 뚫기 쉽지 않아서 맥에 대한 공격은 사용자가 속아서 스스로 설치하도록 만드는 공격이 많다. 악성코드를 마치 보안 프로그램인 것처럼 보이게 해서 배포하는 방식이 그중 하나다. 아무래도 윈도우보다 맥OS에서 작동하는 소프트웨어가 훨씬 적고 애플 앱스토어라는 한정된 곳에서 제공되다 보니 인터넷 검색이나 토렌트 등을 통해 무료 소프트웨어를 찾는 사용자들도 꽤 있다.    맥용 보안 제품을 사 주지 않는 회사에서 무료 보안 프로그램을 찾는 사용자도 있어서 공격자들이 파고들기 좋다. 애플 사용자들의 애플에 대한 특수한 신뢰를 악용하여 애플 사이트로 위장한 피싱 사이트...

2021.04.15

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

강은성 보안 아키텍트 보안 정보보안 기밀성 무결성 가용성 빌 게이츠 위험 관리 정보보호

2021.03.12

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

2021.03.12

강은성의 보안 아키텍트ㅣ애플이 쏘아 올린 광고 식별자 논쟁

전 세계가 코로나19로 인해 고통받고 있는 상황에서도 새로운 한 해를 맞이한다. 백신과 치료제가 우리를 해방하는 날이 하루빨리 오길 기대해 본다. 애플은 작년 12월부터 자사의 앱스토어에 등록하는 앱이 이용자의 개인정보를 수집하면 ‘개인정보 처리방침’ URL을 명시하고 어떤 데이터를 수집하는지 공개하도록 하는 정책을 시행하고 있다.      개인정보보호법에 따라 의무적으로 개인정보 처리방침을 공개하는 국내 기업에는 익숙한 정책이다. 다만 정부가 아니라 플랫폼사업자가 규제하는 것이 좀 낯설 뿐이다.  이 정책은 지난해 6월에 열린 애플의 세계개발자대회(WWDC) 2020에서 키노트를 통해 발표되었는데, 이것보다 더 세간의 관심을 끈 것은 같이 발표된 ‘앱 추적 통제’(Tracking control) 정책이다. 그림과 같이 앱에서 이용자의 정보나 행위를 추적하려면 이용자의 사전 승인(opt-in)을 받아야 하고, 그렇지 않은 앱은 앱스토어에서 삭제하겠다는 것이다.   하지만 iOS 업데이트에서 앱 추적 투명성(App Tracking Transparency) 프레임워크를 배포함으로써 이 정책을 시행하겠다던 애플은 개발사에 준비 기간을 주겠다면서 이 기능을 비활성화한 채 배포하고, 정책 시행 시기를 올해 초로 연기하였다. 개인정보보호 관점에서 보면 당연하거나 바람직해 보이는 이 정책을, 광고 매출이 반 이하로 떨어질 것으로 예측한 페이스북이 강력히 반대했기 때문이다.  ‘디스플레이 광고’ 때부터 무료였던 콘텐츠가 ‘개인 맞춤형’ 광고 덕분에 무료라는 초기 주장이 설득력이 없다는 걸 깨달았는지 작년 12월부터 페이스북은 애플의 앱 추적 통제 정책이 프라이버시 보호가 목적이 아니라 애플의 이익을 강화하기 위한 ‘반경쟁적’ 정책이고, 이 정책으로 인해 소기업의 수입이 60% 줄어들 것이라며 이 정책을 중단시키기 위한 좀 더 정교한 반대 캠페인을 시작했다. ‘페이스북-케임브리지 애널리티카 개인정보 유출 사...

강은성 보안 아키텍트 애플 개인정보보호 프라이버시 애플리케이션 데이터 개인정보 앱 추적 통제 페이스북 광고 광고 식별자 네이버

2021.01.18

전 세계가 코로나19로 인해 고통받고 있는 상황에서도 새로운 한 해를 맞이한다. 백신과 치료제가 우리를 해방하는 날이 하루빨리 오길 기대해 본다. 애플은 작년 12월부터 자사의 앱스토어에 등록하는 앱이 이용자의 개인정보를 수집하면 ‘개인정보 처리방침’ URL을 명시하고 어떤 데이터를 수집하는지 공개하도록 하는 정책을 시행하고 있다.      개인정보보호법에 따라 의무적으로 개인정보 처리방침을 공개하는 국내 기업에는 익숙한 정책이다. 다만 정부가 아니라 플랫폼사업자가 규제하는 것이 좀 낯설 뿐이다.  이 정책은 지난해 6월에 열린 애플의 세계개발자대회(WWDC) 2020에서 키노트를 통해 발표되었는데, 이것보다 더 세간의 관심을 끈 것은 같이 발표된 ‘앱 추적 통제’(Tracking control) 정책이다. 그림과 같이 앱에서 이용자의 정보나 행위를 추적하려면 이용자의 사전 승인(opt-in)을 받아야 하고, 그렇지 않은 앱은 앱스토어에서 삭제하겠다는 것이다.   하지만 iOS 업데이트에서 앱 추적 투명성(App Tracking Transparency) 프레임워크를 배포함으로써 이 정책을 시행하겠다던 애플은 개발사에 준비 기간을 주겠다면서 이 기능을 비활성화한 채 배포하고, 정책 시행 시기를 올해 초로 연기하였다. 개인정보보호 관점에서 보면 당연하거나 바람직해 보이는 이 정책을, 광고 매출이 반 이하로 떨어질 것으로 예측한 페이스북이 강력히 반대했기 때문이다.  ‘디스플레이 광고’ 때부터 무료였던 콘텐츠가 ‘개인 맞춤형’ 광고 덕분에 무료라는 초기 주장이 설득력이 없다는 걸 깨달았는지 작년 12월부터 페이스북은 애플의 앱 추적 통제 정책이 프라이버시 보호가 목적이 아니라 애플의 이익을 강화하기 위한 ‘반경쟁적’ 정책이고, 이 정책으로 인해 소기업의 수입이 60% 줄어들 것이라며 이 정책을 중단시키기 위한 좀 더 정교한 반대 캠페인을 시작했다. ‘페이스북-케임브리지 애널리티카 개인정보 유출 사...

2021.01.18

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

강은성 보안 아키텍트 사이버 위협 맥아피 카스퍼스키 파이어아이 소닉월 포티넷 보안기업 위협 인텔리전스 표적 피싱 원격 CISO CSO

2020.12.21

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

2020.12.21

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13